漏洞信息
# Discourse中未经认证即可访问新的私聊信息
## 概述
Discourse 是一个开源社区讨论平台。在未修复的版本中,攻击者可以通过未认证的 POST 请求读取新的聊天信息。
## 影响版本
- 3.1.1稳定版之前
- 3.2.0.beta2版本之前
## 细节
通过向 MessageBus 发送未认证的 POST 请求,攻击者可以读取新聊天消息。
## 影响
此漏洞已被修复,用户应升级到上述提到的版本。目前没有已知的缓解方法。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unauthenticated access to new private chat messages in Discourse
漏洞描述信息
Discourse is an open source platform for community discussion. New chat messages can be read by making an unauthenticated POST request to MessageBus. This issue is patched in the 3.1.1 stable and 3.2.0.beta2 versions of Discourse. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
信息暴露
漏洞标题
Discourse 信息泄露漏洞
漏洞描述信息
Discourse是一套开源的社区讨论平台。该平台包括社区、电子邮件和聊天室等功能。 Discourse存在信息泄露漏洞,该漏洞源于允许攻击者通过向MessageBus发出POST请求来读取新的聊天消息。受影响的产品和版本:stable 3.1.0至3.1.1版本,beta 3.1.0.beta6至3.2.0.beta2版本,tests-passed 3.1.0.beta6至3.2.0.beta2版本。
CVSS信息
N/A
漏洞类别
信息泄露